DMZ и NAT
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Guest
- проходил мимо
DMZ и NAT
Привет, форучане! Недавно начал изучать Фрю поэтому есть один вопрос! Есть машинка с тремя картами ,пусть будут xl0 ,rl0 и fxp0 .В целях обучения хочу сделать следующее : дать доступ из локалки в интернет через nat (rl0) и организовать Dmz зону на другом интерфейсе (fxp0) ,соответственно xl0 - карточка к прову. Делать хотел все для начала с помощью ipfw и демона natd. Так вот всал вопрос как грамотнее в данном случае сделать ? Прописать два разный diverta для ната или сделать мост ?Спасибо
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
- Контактная информация:
Re: DMZ и NAT
В DMZ и локалке - приватные адреса.
НАТ нужен только на том интерфейсе, который смортит к провайдеру(если, конечно, у вас там реальный IP).
Если к прову - серый адрес, то хватит статической марщрутизации.
НАТ нужен только на том интерфейсе, который смортит к провайдеру(если, конечно, у вас там реальный IP).
Если к прову - серый адрес, то хватит статической марщрутизации.
...участки под застройку в живописном месте Интернет
-
Гость
- проходил мимо
Re: DMZ и NAT
Так это все понятно.Например я хочу разместить web сервер в dmz (в дмз -частный адрес) т.е мне надо как то прокидывать 80 порт с внешнего адреса внутрь.Так вот вопрос :как пробрасывать то лучше через првила natd типа redirect_port или через правила ipfw ?
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
- Контактная информация:
Re: DMZ и NAT
Тут ситуация такая(в случае использования ipfw fwd), если прийдет пакет от клиента на 80 порт белого адреса, то он будет перенаправлен на 80 порт серого адреса. Когда пойдет ответ от сервера с портом источником 80, то проходя через ваш внешный интерфейс(тот который в мир), 80й порт будет подменен(NAT), и таким образом клиент посылал запрос на 80 порт, а получил ответ с некого другого. Вероятно в таком случае будут проблемы.
А вот если использовать natd redirect_port, то у вас будет нормальный туннель, и порт-источник подменяться не будет.
А вот если использовать natd redirect_port, то у вас будет нормальный туннель, и порт-источник подменяться не будет.
...участки под застройку в живописном месте Интернет
-
Zorge
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2009-11-13 16:49:15
Re: DMZ и NAT
Спасибо ,Небо! Опыта работы с бсд мало поэтому спрошу еще один вопрос! Какова политика безопасностипри размещении серверов в дмз зоне? Например если я установлю корпоративный веб сервер в дмз ,то как лучше ,с точки зрения безопастности ,настроить файервол для запросов из локальной сети? Запретить вообще все в локальную сеть , т.е сделать доступ к веб серверу через интернет?
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
- Контактная информация:
Re: DMZ и NAT
Политика безопасности и политика доступа к серверам в ДМЗ, и не только, а какже к другим ресурсам вашей сети такова, какую определяете именно ВЫ. Фаервол настраивается после того, тогда у вас будут четко сформулированы политики и, я по крайней мере так делаю, построена матрица доступа.Zorge писал(а):Спасибо ,Небо! Опыта работы с бсд мало поэтому спрошу еще один вопрос! Какова политика безопасностипри размещении серверов в дмз зоне? Например если я установлю корпоративный веб сервер в дмз ,то как лучше ,с точки зрения безопастности ,настроить файервол для запросов из локальной сети? Запретить вообще все в локальную сеть , т.е сделать доступ к веб серверу через интернет?
Если вы вообще создали ДМЗ и разместили там сервер, значит у вас возникла необходимость предостовлять некие сервисы пользователям (локальным и удаленным). Если вы запустите своих локальных пользователей на сервер в ДМЗ через интернет, то соответственно сервер увидит этих пользователей как пришедших из вне. Возможно, у вас доступ к серверу и сервисам, которые он предоставляет, отличается для локальных и глобальных пользователей, тогда нужно продумывать механизм идентификации.
Я бы все-таки на вашем месте не пускал локальных пользователей в "обход". Это не рационально с точки зрения загрузки внешнего канала, да и потом вдруг что, из общей кучи запросов и клиентов разделить "своих - чужиш" будет сложнее.
По ДМЗ. Основная идея заключается в том, что даже если ваши сервера в ДМЗ будут взломаны и злоумышленики получат над ними контроль, это никак не должно отразиться на работе вашей локальной сети, тоесть атаковать локальную сеть из ДМЗ не должно быть возможным(по крайней мере в идеале
)....участки под застройку в живописном месте Интернет